[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01038] Re: 実行時にハッシュ値をチェック
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01038] Re: 実行時にハッシュ値をチェック
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Tue, 27 Nov 2001 12:34:08 +0900
こんにちは、伊原です。
On Tue, 27 Nov 2001 01:47:16 +0900
"IWAMOTO, Kouichi" <sue@xxxxxxxxx> wrote:
>> > そもそも何がやりたいかというと、例えば ps とか ls とか通常利用
>> > するコマンドのハッシュ値を毎回起動時にチェックしてくれれば、仮
>> > にコマンドが改ざんされていても検出できるんではないかと考えてい
>> > ます。
>
>FreeBSDでコマンド等を改竄されないようにするのだったら、
>書き換えられたくないファイルにchflagsでschgフラグをセットして変更不可にし、
>schgフラグを外せないようにKernelのsecurelevelを1以上にします。
なるほど、FreeBSD って色々考えられているんですねぇ。
#フラグをチェックすることで、侵入を検出しにくくなるというのは興
#味深い..http://www.freebsd.org/ja/handbook/security-intro.html
コマンドが改ざんされていないかをチェックするのには、Tripwire とか
使えばいいんですが、絶対パス使わずに ps とか打って、/tmp/evil/ps
が実行されるのを、ハッシュチェックさせてれば防げるはずなので、そ
いう機能を実現するツールなどがないものかなと...
標準コマンドでも日頃使わない(insmod とか)はハッシュ値を外しておく
と、それらのコマンドの実行により問題が発生するケースへも多少防壁
となる気がしてます。
---
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
★ 一票いっとく? ★
http://isweb.infoseek.co.jp/hp_daiou/?svx=971122